Yapılandırılmış Sorgu Dili (SQL) enjeksiyonu, veritabanı tabanlı bir web sitesine karşı neredeyse her zaman denenen bir saldırı türüdür. Siteyi yönlendiren veritabanında depolanan verileri imha ederek, değiştirerek veya açığa vurarak veri yönetimine müdahale etmek için sitenin SQL sorgularına kötü amaçlı kod eklemek bir çabadır. SQL, veritabanlarında depolanan verileri oluşturmak, güncellemek ve almak için kullanılan standart bir programlama dilidir.
SQL enjeksiyon saldırılarının tehlikeleri çok sayıda ve başarılı bir şekilde yapıldığında çok yıkıcı. Kredi kartı numaraları, bir kişinin tıbbi kayıtları, çevrimiçi bankacılık ve e-posta gibi hesaplar için kullanıcı adları ve şifreleri gibi çeşitli bilgiler ve çeşitli kimlik numaraları siber suçlulara maruz kalabilir. Her ne kadar veri hırsızlığı muhtemelen SQL enjeksiyonunu kullanmaya çalışan birinin temel amacı olsa da, bunun veya siteler arası komut dosyası oluşturma gibi diğer herhangi bir kod enjeksiyon tekniğinin kullanımı için tek motivasyon değildir. İstemedikleri bilgileri gösteren bir web sitesini ziyaret edenler, siteyi devre dışı bırakmak, veri çalmak veya sitenin arkasındaki kişilerin görevini imha etmek için verileri değiştirmek için SQL enjeksiyon saldırıları yapabilir.
Bazen, bir web sitesine karşı, hesabını site sahipleri tarafından yasaklanmış, sitenin popülaritesini kıskandıran ya da kendi göz önünde bulundurduğu birinin çevrimiçi işini tahrip etmeyi hedefleyen hoşnutsuz bir ziyaretçi tarafından denenmiştir. düşman ol. Açıkçası bir SQL enjeksiyon saldırısı başlatmak için SQL'in bilgisi gereklidir, ancak diğer programlama dilleriyle karşılaştırıldığında genellikle öğrenmesi çok zor bir dil olarak kabul edilmez ve çoğu, nasıl kullanılacağına dair temel, ancak sağlam bir anlayışla gerçekleştirilebilir. o. Bu, bir web sitesine karşı SQL enjeksiyonunu denemek için gerekli beceriye sahip internette sörf yapan çok sayıda insan olduğu anlamına gelir.
Web geliştiricileri, özellikle arka uç web geliştirme konusunda uzmanlaşmış olanlar, programladıkları sitelerin SQL enjeksiyonuna karşı güvenli olmasını sağlamaktan sorumludur. Neredeyse her zaman bu kadar önemli bir güvenliği sağlamak için birden fazla yol vardır ve bu yöntemlerin çoğu basit ama etkili çözümler olarak kabul edilir. Örneğin, bir geliştirici, köprü metni önişlemcisi (PHP) dilinde komut dosyası yazarken mysql_real_escape_string () işlevini veya hazırlanan ifadeleri kullanabilir. Saldırıya karşı korunmak için seçilen yöntemler dikkatli bir şekilde göz önünde bulundurulmalıdır, çünkü sitenin bir bütün olarak performansı güvenlik kurulurken bile göz ardı edilemez.
